Дайджест Start X № 428

Сразу после обнаружения потенциально затронутые сервисы были изолированы, чтобы минимизировать последствия взлома. Однако эти действия по изоляции систем повлекли за собой перебои в работе некоторых сервисов и управляющих платформ для бизнес-клиентов, а также затронули ряд потребительских сервисов, в основном на территории Франции.
Компания уже уведомила о кибератаке соответствующие органы. Следственная группа пока не обнаружила никаких доказательств того, что в ходе взлома могли быть похищены какие-либо данные.

Сначала была обнаружена незащищенная БД Firebase, содержащая личные данные пользователей, а затем была найдена вторая БД, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.

Tea представляет собой платформу, в первую очередь ориентированную на женщин. Это закрытое сообщество, где все участницы анонимны, но проходят верификацию, предоставляя селфи и документы для подтверждения личности, что должно обеспечивать безопасность и конфиденциальность. Tea позволяет проверять информацию о потенциальных партнерах и делиться «отзывами» о мужчинах, то есть опытом общения и свиданий, а также проверять информацию на предмет мошенничества и фейков, тайных браков, судимостей и так далее.

В конце прошлой недели на 4chan появилась информация о том, что Tea использует незащищенное хранилище Firebase, где можно найти фото документов и селфи, которые пользователи загружают на платформу для подтверждения личности, а также фотографии и изображения, которыми они делятся друг с другом в комментариях.

В результате этой утечки было раскрыто более 59 ГБ данных, включающих около 72 000 изображений, в том числе около 13 000 селфи и фото, предоставленных пользователями при верификации аккаунта, а также около 59 000 изображений, публично доступных в приложении в постах, комментариях и личных сообщениях.

Вскоре после этой утечки в сети нашли ещё одну незащищенную базу данных Tea, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.

Эта база содержит более свежие данные, начиная с 2023 года и заканчивая прошлой неделей. В БД можно найти сообщения, в которых обсуждались крайне деликатные темы, включая аборты, измены и мужчин-двоеженцев. В некоторых случаях женщины обменивались номерами телефонов, чтобы продолжить общение вне платформы. Любой пользователь Tea мог получить доступ к сохраненным данным других людей, используя собственный ключ API.

Теперь идентифицировать пользователей Tea можно по профилям в социальных сетях, номерам телефонов и другим личным данным, раскрытым в результате утечек.

В итоге платформа, которая должна была стать безопасным пространством для женщин, превратилась в инструмент для буллинга. К примеру, в сети уже появляются сайты, где предлагается оценить селфи пользовательниц Tea, взятые из утекших данных. На сайте даже публикуется рейтинг 50 лучших и 50 худших.

«Мы столкнулись с серьезным техническим сбоем вследствие хакерской атаки. В результате чего была нарушена работа аптек. Команда наших специалистов работает над восстановлением сервисов. В настоящее время уже половина наших аптек открыты для покупателей», — гласит официальное заявление, размещенное в Telegram-канале сети «Столички».

В одной из работающих аптек «Неофарм» в Москве корреспонденту СМИ рассказали, что всего по городу остались работать 20−30 аптек сети, а остальные были вынуждены закрыться из-за хакерской атаки. По словам сотрудников, это произошло ещё вчера.

Проблемы в работе из-за технических сбоев 29 июля возникли у московской сети клиник «Семейный доктор». На сайте клиники сообщается, что временно не работают личный кабинет пациента и сервис онлайн-записи. Как сообщили администраторы клиники, прием у врачей ведется в порядке живой очереди, так как базы недоступны.

Позднее компания «Медицина АльфаСтрахования» (управляет сетями «Альфа-Центр Здоровья» и «Семейный доктор») сообщила, что проблемы у ООО «Медицинская клиника „Семейный доктор“» возникли из-за хакерской атаки, которая была нейтрализована в течение нескольких часов.

«Утечка данных не подтверждена. Клиника „Семейный доктор“ продолжает вести прием пациентов. Критически важные сервисы постепенно возвращаются в штатный режим работы», — говорится в официальном заявлении.

«В данный момент зафиксирована авария на всю сеть, связанная с вредоносной активностью (DDoS-атака). Специалисты уже занимаются решением проблемы. Как только доступ к услугам возобновится, мы сразу же оповестим вас», — говорится в сообщении на сайте компании.

Компания AirNet предоставляет цифровые услуги связи физическим и юридическим лицам: интернет, телевидение, телефония, и системы контроля доступа, а также входит в десятку самых крупных интернет-провайдеров в Санкт-Петербурге.

Уязвимость затрагивает как обычных клиентов, так и моделей, использующих сервис в трансляциях. Поскольку ники часто публикуются открыто — например, в соцсетях и на форумах — злоумышленникам не составляет труда сопоставить их с реальными адресами и применять сведения для доксинга или преследования.

По словам исследователя, всё началось с попытки заглушить уведомления от другого участника: после нажатия кнопки «Mute» в ответе API неожиданно отразился чужой email. Это послужило отправной точкой для анализа, в ходе которого выяснилось, что при определённой последовательности действий можно с высокой скоростью массово извлекать адреса по публичным никам.

Пенсионерке из столицы позвонил мужчина, представившийся сотрудником сервисной службы, и сообщил о замене домофона в её доме. Под этим предлогом он уговорил её назвать код из СМС, якобы необходимый для получения новых ключей.

Позже с женщиной связались другие мошенники — теперь уже в роли сотрудников «Роскомнадзора». Они сообщили, что её персональные данные якобы похищены, а на её имя и имя супруга оформлены доверенности. Чтобы «спасти» сбережения, ей предложили строго следовать указаниям по телефону.

За пять дней общения с аферистами женщина передала им 200 тысяч долларов США, 20 тысяч евро, 4 млн рублей и 5 килограммов золота. Общий ущерб составил более 63,7 млн рублей.

Хак-группы «Киберпартизаны BY» и Silent Crow заявили, что это они атаковали «Аэрофлот» и «полностью скомпрометировали и уничтожили внутреннюю IT-инфраструктуру» компании.

В Telegram-канале хакерской группировки Silent Crow появилось сообщение, в котором злоумышленники, совместно с группой «Киберпартизаны BY», берут на себя ответственность за предполагаемую атаку на систему «Аэрофлота», заявляя, что провели в системах компании целый год.

Генпрокуратура России организовала надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы «Аэрофлота» в результате хакерской атаки.

По материалам прокурорской проверки возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).